智能手機的數據文件分析技術

歐陽偉　劉蔚

摘 要 本文主要研究了2種流行的智能手機類型： iPhone 3和三星i8000手機上使用的幾種不同的文件備份及加密技術，特別是針對其儲存格式及社交網絡通訊信息的電子文檔進行了深入分析，給出了比對后的實驗結論。

關鍵字 智能手機 電子數據 備份技術

中圖分類號：TN92 文獻標識碼：A

智能手機由于具有不斷增強的計算能力、巨大的儲存空間、便于使用、及利用日益增多的Wi-Fi網點覆蓋可以隨時上網等特點，已經在世界范圍得到普及。智能手機越來越強大的功能使得其對人們的生活影響愈發明顯，比如經由社交網絡平臺像微信、微博、陌陌等使用手機可以和朋友共享電子文件等信息。正因如此，利用手機為通訊中介（或工具）進行犯罪呈高發態勢，這種現象也引起犯罪偵查等職能部門的高度重視，因此對智能手機的電子信息取證已經成為偵查分析人員及信息安全專家工作的重中之重。隨著新刑事訴訟法第48條第2款規定：“證據包括‘視聽資料、電子數據” ，在當前的技術偵查中，調查人員從智能手機中提取電子數據已經成為最重要的數字證據來源。

1背景介紹

智能手機電子取證技術（又名數字設備取證技術）是一門新興且快速發展的交叉學科技術。根據不同手機品牌和操作系統類型，甚至是同一手機品牌不同階段產品（比如iPhone 2與iPhone 3），其取證方法和程序仍不盡相同。筆者認為在目前手機品牌眾多的環境下很有必要制定一套“從智能手機進行數字取證的標準”，這樣的一套標準能夠給具有資質的執法人員手機取證的所有程序規范，讓執法人員知曉如何合法的從智能手機里讀取電子資料，也能用來進一步設定對智能手機取證的標準及后續行動。目前主流的智能手機其取證技術分為兩大類：大數據設備及小數據存儲設備，本文只對后一種技術進行分析。

小數據存儲設備取證是電子取證中一個比較新的名詞。它包括了目前客戶終端新型的通訊方式取證，例如從社交網絡平臺（前文提到的微信、微博、陌陌等）、短信、及電子郵件上截取信息。據中國互聯網絡信息中心（CNNIC）“第34次中國互聯網絡發展狀況統計報告（2014年7月）”最新統計，我國網民規模達到6.32億，智能手機用戶達到5.9億，手機網民達到5.27億，手機上網的網民比例達到83.4%，首次超越80.9%的傳統PC上網率。可見目前利用智能手機進行通訊和上網已經成為了現代社會人們社交聯系的最主要方式，這使得利用手機進行技術偵查的工作越來越重要和必要。但由于智能系統軟件的發展和反病毒掃描軟件使用的低門檻，手機用戶可以容易的刪除保存在手機上的電子資料，但即便如此，我們也可以用專門應用程序來讀取被刪除或在系統里備份的短信和電子郵件，這些應用軟件包括EverRun、Cell phone spy和 iRecovery stick。在進行取證時，取證人員使用硬盤復制機讀取所有資料，然后使用特殊的電子取證機分析所獲得的數字資料。目前大部分通訊或網絡設備是利用電板供電，里面再使用微電池對一些耗電低的存儲記憶晶片供電，一旦取出電板就容易造成數據的丟失。這就需要取證人員使用可攜式設備讀取被刪除的數據，如郵箱地址、短信、個人資料、電話聯絡簿、多媒體文件等。

本文結構如下：首先我們列出從社交網絡平臺截取信息的軟件工具，然后我們分析從iPhone和其他智能手機上讀取的信息，檢查智能手機的備份技術，用來幫助電子取證的工作。最后給出結論。

2工具介紹

實驗步驟包含以下。首先我們選擇了不同的智能手機，包括iPhone 3，三星i8000。其次，我們選取不同的軟件來備份這些智能手機里的數據。例如我們用Converter和Device Seizure軟件來備份iPhone3數據，使用ActiveSync軟件備份三星i8000數據。智能手機數據備份完以后，我們就截取利用這些手機進行社交網絡平臺通訊時保存在手機中的通訊資料，最后對其分析。從iPhone里讀取出來的數據文件包括Plist， Localstorage，Unix Executable file，Data Base File等。我們用Mobiledit軟件來讀取三星i8000的備份數據。需要說明的是所有的數據文件分析都在微軟的XP系統下完成。

3數據讀取分析實驗

（1）IPhone 3實驗說明

對iPhone 3數據備份會導出六類文檔，這需要我們使用plist Editor、SQLite Database Browsers、Hex Editor Neo等工具來讀取這些文件。在使用plist Editor后發現在“tencent/micromsg/download”“tencent/micromsg/camera”中的郵件文件和圖片文件都沒有加密，其它資料是加密了的，比如iPhone3里的“friends file” 文檔已經加密。iTune 的Metadata文檔可由Plist Editor 軟件讀出，但文檔中只有使用人登入時間、日期、及登入的郵箱地址。最后我們用Hex Editor Neo軟件讀取iTune Artwork文件時，發現Artwork文檔最前面有一個JFIF頭但有任何有關安全的設置， “http_pagead2.googlesyndication.com” 文件也是這樣。如果使用者翻墻訪問了推特，并且使用過的話就會留下大量有價值的信息，比如我們從推特截取出 “AC6164F9-D2A6-4DA3BD3E5F14128367C5”、“app.state”、“com.atebits.Tweetie2.plist”、“Cookies.plist”、“iTunesArtwork”、“iTunesMetadata.plist”等7個文件夾。這些從推特備份文件夾讀取出來信息非常有用，文檔都是完全不加密的 PropertyList （.plist） XML 文件。該使用者訪問的所有推特使用人的公開資料都存儲在“045FCA62-723A-4C50-A828-9B831D9078FC”、“app.state”文件夾中。在“iTunesMetadata.plist”文檔中，使用者的蘋果帳戶ID（用來下載各應用程序的ID）是明文顯示的。

（2）三星i8000實驗說明

對三星i8000安卓智能手機，我們用Mobiledite應用程序來截取一些通訊的有關文檔。所有通訊下載的資料存儲在 “micromsg.vol”的文件中，但此文件被加密，無法獲得更多信息。

4實驗結論

首先我們用iTunes備份程序對iPhone 3進行備份。第二是檢查社交網站的備份儲存文件夾。我們在iPhone 3手機上使用plist Editor 讀取了“app.state”、“Cookies.plist”、 “Unix Executable”、“iTunesMetadata.plist”和“iTunesArtwork” 等文件。可以得知聯網不同社交平臺保存的通訊文件會存儲在不同的文件夾內，并且一些文件名的不同跟所用的軟件版本不同也有關。如我們使用SQLite Database Browser 2.0來讀取“friends.db”文件時，只能用Hex editor編譯“iTunesArtwork”文檔，而使用Plist則無法打開文檔。這個檔案有一個JFIF頭，但是沒有任何隱藏的信息可被讀取。在使用三星i8000智能手機時，沒有在手機上找到任何推特的蹤跡。但使用Mobiledite應用程序會還原一個notepad文件，里面包含通訊產生過的短信、照片名稱、撥打的電話號碼、以及沒有接到的電話，除此之外就都是加密的。

可以得知蘋果iPhone 是比較容易收集數據資料進行電子取證的手機。這是因為從iPhone 上我們能讀取到很多沒有加密的有用信息。并且iPhone上有其它很多開源程序的應用軟件，這些數字證據是可以供法庭分析調查所用。比較起來，三星的安卓手機雖然也有很多應用軟件可以讀取手機上的一些資料，但是默認情況下，系統會自動對這些文件加密。

本文只涉及對移動設備取證技術方面的研究，可以給取證人員提供具體的方法路線，用來改進和優化有關的程序及技術。但是對于個案或程序中涉及的電子證據提取的法律問題應該咨詢法律方面的有關人士。

本文是2014年度湖南省科技廳科研項目《基于LBS的動通信技術在偵查實戰中應用與研究》（課題編號：2014FJ6089）階段性成果。

參考文獻

[1] 王海平，陳丹偉，孫國梓.電子數據取證有效性關鍵技術研究[J].信息網絡安全，2006，（12）：51-53.

[2] 許榕生.中國數字取證的發展現狀[J].中國教育網絡，2U07，（08）：26-27.

[3] 崔凈齊.“電子數據”初探[J].商品與質量，2012，（S5）：272-273.

[4] 米佳，劉浩陽.計算機取證技術[M].北京：群眾出版社，2007.

[5] SveinYngvar Willassen，Forensics and the GSM mobile telephone system [J].International Journal of Digital Evidence，2008，2（1）.2